Questa impostazione dei criteri consente di configurare la modalità di protezione della chiave di crittografia di BitLocker ...

Questa impostazione dei criteri consente di configurare la modalità di protezione della chiave di crittografia di BitLocker da parte del modulo TPM (Trusted Platform Module) del computer. Questa impostazione dei criteri non si applica se il computer non è provvisto di un TPM compatibile o se BitLocker è già stato abilitato con protezione TPM.

Importante: questa impostazione dei Criteri di gruppo si applica solo ai computer con una configurazione del firmware UEFI nativo. Nei computer con configurazioni del firmware basate su BIOS o UEFI con un modulo CSM (Compatibility Service Module) abilitato vengono archiviati valori diversi nei registri PCR. Utilizzare l'impostazione dei Criteri di gruppo "Configurazione profilo di convalida della piattaforma TPM per configurazioni del firmware basate su BIOS" per configurare il profilo PCR TPM per i computer con configurazioni del firmware basate su BIOS o UEFI con un modulo CSM abilitato.

Se si abilita questa impostazione dei criteri prima dell'abilitazione di BitLocker, sarà possibile configurare i componenti di avvio che saranno convalidati dal TPM prima di sbloccare l'accesso all'unità del sistema operativo crittografata con BitLocker. Se uno o più di tali componenti vengono modificati mentre la protezione BitLocker è attiva, il TPM non rilascia la chiave di crittografia per sbloccare l'unità e il computer visualizza invece la console Ripristino BitLocker e richiede l'immissione della password o della chiave di ripristino per sbloccare l'unità.

Se si disabilita o non si configura questa impostazione dei criteri, BitLocker utilizzerà il profilo di convalida predefinito della piattaforma oppure il profilo specificato dallo script di configurazione. Un profilo di convalida della piattaforma è costituito da un set di indici di registri PCR (Platform Configuration Register) nell'intervallo compreso tra 0 e 23. Il profilo di convalida della piattaforma predefinito protegge la chiave di crittografia dalle modifiche al codice eseguibile del firmware del sistema principale (PCR 0), al codice eseguibile esteso o modulare (PCR 2), a Boot Manager (PCR 4) e al controllo di accesso BitLocker (PCR 11).

Avviso: la modifica del profilo di convalida predefinito della piattaforma influisce sulla sicurezza e la gestibilità del computer. La sensibilità di BitLocker alle modifiche apportate alla piattaforma (autorizzate o dovute ad attacchi di utenti malintenzionati) aumenta o si riduce a seconda rispettivamente dell'inclusione o dell'esclusione di registri PCR. Nello specifico, se si configura questa impostazione dei criteri omettendo PCR 7, l'impostazione di Criteri di gruppo "Consenti avvio protetto per la convalida dell'integrità" verrà sovrascritta, impedendo a BitLocker di utilizzare l'avvio protetto per la convalida dell'integrità della piattaforma o dei dati della configurazione di avvio (BCD). L'impostazione di questa impostazione dei criteri potrebbe comportare il ripristino di BitLocker in caso di aggiornamento del firmware. Se si impostano questi criteri per l'inclusione di PCR 0, sospendere BitLocker prima di applicare gli aggiornamenti del firmware.